Sebuah sambungan penyemak imbas berlabel ‘Crypto Copilot’ ditemui menyalurkan yuran transaksi daripada pertukaran Solana milik pengguna selama beberapa bulan sebelum dikenalpasti oleh firma keselamatan siber Socket. Sambungan itu, yang tersedia di Chrome Web Store sejak Jun 2025, menyamar sebagai pembantu dagangan untuk pengguna Raydium tetapi melaksanakan arahan pemindahan tersembunyi bersama transaksi pertukaran yang sah.
Selepas pemasangan, ‘Crypto Copilot’ menanamkan arahan tambahan ke dalam setiap pakej pertukaran DEX, mengalihkan sama ada 0.0013 SOL atau 0.05% daripada jumlah pertukaran ke dompet yang dikawal oleh penyerang. Dengan memanfaatkan pelaksanaan transaksi secara atomik di Solana, sambungan itu berjaya mengelak amaran antara muka dompet, menyebabkan pengguna yang tidak curiga meluluskan kedua-dua pemindahan yang dimaksudkan dan yang berniat jahat pada masa yang sama.
Analisis pada rantaian menunjukkan sejumlah mangsa yang kecil setakat ini, dengan kerugian terkumpul yang minimum. Namun, eksploit ini beroperasi secara linear dengan volum dagangan, berpotensi menyalurkan jumlah substansial daripada pedagang bervolum tinggi. Sebagai contoh, pertukaran 100 SOL akan mengalihkan 0.05 SOL, bersamaan kira-kira $10 pada kadar pertukaran semasa, bagi setiap transaksi.
Para pakar keselamatan mencatat bahawa infrastruktur belakang sambungan itu kurang matang dari segi operasi. Domain utama cryptocopilot.app telah diparkir di perkhidmatan hosting generik, manakala titik akhir papan pemuka mengandungi kesilapan ejaan, menghasilkan halaman kosong. Kelemahan seperti itu menunjukkan eksploit ini berasal daripada pelaku ancaman amatur atau usaha bebas, bukannya kempen terancang yang selari dengan negara.
Prosedur Chrome Web Store membolehkan sambungan ini kekal hidup walaupun terdapat mekanisme semakan automatik. Socket telah mengemukakan permintaan penurunan rasmi, tetapi pada masa laporan, penyingkiran masih dalam pertimbangan. Pengguna dinasihatkan untuk mengaudit sambungan yang dipasang, membatalkan hak penandatanganan, dan memindahkan dana ke dompet baharu jika mereka telah menggunakan alat yang terjejas.
Platform pertukaran kripto dan penyedia dompet telah didesak untuk melaksanakan kawalan senarai putih sambungan, aliran kerja kelulusan berbilang tandatangan, dan penafsiran transaksi masa nyata untuk mengesan arahan yang dilampirkan. Pemain industri sedang menilai heuristik yang dipertingkat untuk menandai transaksi gabungan yang menyimpang daripada corak pertukaran biasa.
Yang penting, insiden ini menekankan risiko yang lebih luas yang wujud dalam pemberian hak penandatanganan kepada sambungan penyemak imbas, kerana kod sumber tertutup boleh menyembunyikan logik berniat jahat. Audit yang didorong komuniti, alat sumber terbuka, dan protokol penandatanganan yang desentralisasi telah dicadangkan sebagai langkah mitigasi untuk melindungi aliran aset dalam rantaian blok.
Seiring dengan pertumbuhan aktiviti DeFi, serangan ini menonjolkan keperluan standard keselamatan yang ketat pada lapisan antaramuka pengguna. Pembangun dan penjaga dompet perlu bekerjasama untuk mengimbangi ciri kemudahan dengan pemeriksaan keselamatan yang kukuh, ensuring persetujuan pengguna mencerminkan arahan dalam rantaian blok secara tepat. Tanpa langkah-langkah tersebut, eksploit penyaluran yuran atau pengalihan dana yang serupa mungkin merebak di platform-platform.
Peneliti terus memantau dompet penyerang untuk transaksi lanjut dan berkoordinasi dengan agensi penguat kuasa undang-undang untuk mengesan dana yang dicuri. Komuniti Solana, operator pertukaran, dan firma keselamatan siber sedang bekerjasama untuk berkongsi intel ancaman dan memperkukuh amalan terbaik bagi interaksi penyemak imbas yang selamat dalam persekitaran perdagangan desentralisasi.
Komen (0)